Этичные хакеры, известные под никами BobDaHacker и BobTheShoplifter, заявили об обнаружении «катастрофических» уязвимостей в многочисленных платформах, принадлежащих Restaurant Brands International (RBI).
По их словам, системы, обеспечивающие работу более 30 000 ресторанов таких крупных сетей, как Burger King, Tim Hortons и Popeyes по всему миру, были «почти тривиально легки для взлома», передает gazeta.ru
Специалисты по кибербезопасности смогли получить доступ к учетным записям сотрудников, системам заказов и даже прослушивать записи разговоров клиентов на подъездных дорожках (drive-thru). Среди наиболее значительных брешей в безопасности была возможность получения административных прав на всей платформе через мутацию GraphQL, а также использование простого пароля «admin», который был жестко прописан в интерфейсах планшетов drive-thru. Кроме того, системы позволяли создавать учетные записи без проверки электронной почты, а пароли отправлялись в открытом виде.
Хакеры отметили, что обнаружили эти уязвимости, в том числе, благодаря незаблокированному API регистрации, что позволяло любому желающему присоединиться к системе. Они ответственно проинформировали RBI о выявленных недостатках, однако, по их утверждению, не получили никакого подтверждения или ответа от компании. Исследователи подчеркнули, что в ходе работы никакие клиентские данные не были сохранены.